Product Documentation

Préparer la machine Linux pour l'installation de Virtual Desktop

Oct 31, 2016

Préparer RHEL 6/CentOS 6 pour l’installation sur un VDA

Vérifier la configuration réseau

Citrix recommande que le réseau soit connecté et correctement configuré avant de continuer.

Définir le nom de l'hôte

Pour vous assurer que le nom d'hôte de la machine est indiqué correctement, modifiez le fichier /etc/hostname pour qu'il contienne uniquement le nom d'hôte de la machine.

HOSTNAME=nom d'hôte

Attribuer une adresse de bouclage au nom de l'hôte

Pour vous assurer que le nom de domaine DNS et le nom de domaine complet (FQDN) de la machine sont indiqués correctement, modifiez la ligne suivante du fichier /etc/hosts pour qu'elle inclue le nom de domaine complet et le nom d'hôte dans les deux premières entrées :

127.0.0.1  hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4

Par exemple :

127.0.0.1  vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4

Supprimez toute autre référence à hostname-fqdn ou hostname des autres entrées du fichier.

Remarque

Le VDA Linux ne prend actuellement pas en charge la troncation du nom NetBIOS ; par conséquent, le nom de l'hôte ne doit pas comporter plus de 15 caractères.

Conseil

Utilisez uniquement les caractères a-z, A-Z, 0-9 et tiret (-). Évitez le caractère de soulignement (_), les espaces et autres symboles. Ne démarrez pas un nom de l'hôte par un chiffre et ne le terminez pas par un tiret.

Vérifier le nom de l'hôte

Vérifiez que le nom d'hôte est correctement configuré :

commande Copier

hostname

Doit renvoyer uniquement le nom d'hôte de la machine et non pas son nom de domaine complet (FQDN).

Vérifiez que le nom de domaine complet est correctement configuré :

commande Copier

hostname -f

Doit renvoyer le nom de domaine complet de la machine.

Vérifier la résolution de nom et l'accessibilité du service

Vérifiez que vous pouvez résoudre le nom de domaine complet et effectuer un sondage ping sur le contrôleur de domaine et le Delivery Controller XenDesktop :

commande Copier

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn

Si vous ne pouvez pas résoudre le nom de domaine complet ou effectuer un sondage ping sur l'une de ces machines, reprenez les étapes avant de continuer.

Configurer la synchronisation de l'horloge (NTP)

Il est très important de maintenir la synchronisation de l'horloge entre les VDA, les contrôleurs XenDesktop et les contrôleurs de domaine. L'hébergement du VDA Linux en tant que machine virtuelle peut entraîner des problèmes de décalage d'horloge. Pour cette raison, il est recommandé de synchroniser l'heure avec un service de temps à distance.

RHEL 6.x et versions antérieures utilisent le démon NTP (ntpd) pour la synchronisation d'horloge, tandis qu'un environnement RHEL 7.x par défaut utilise le démon Chrony le plus récent (chronyd). Le processus de configuration et de fonctionnement entre les deux services est similaire.

Configurer le service NTP

En tant que root, modifiez /etc/ntp.conf et ajoutez une entrée de serveur pour chaque serveur de temps distant :

commande Copier

server peer1-fqdn-or-ip-address iburst

server peer2-fqdn-or-ip-address iburst

Dans un déploiement type, l'heure doit être synchronisée depuis les contrôleurs de domaine locaux et non pas directement depuis des serveurs de pool NTP publics. Ajoutez une entrée de serveur pour chaque contrôleur de domaine Active Directory du domaine.

Supprimez toute autre entrée server répertoriée, y compris les entrées d'adresse IP de bouclage, localhost et *.pool.ntp.org de serveur public.

Enregistrez les modifications et redémarrez le démon NTP :

commande Copier

sudo /sbin/service ntpd restart

Installer OpenJDK

Le VDA Linux dépend de OpenJDK. L'environnement d'exécution doit avoir été installé dans le cadre de l'installation du système d'exploitation.

Vérifiez que la version est correcte avec :

commande Copier

sudo yum info java-1.7.0-openjdk

Le OpenJDK préconditionné peut être une version antérieure. Mettez à jour vers la dernière version :

commande Copier

sudo yum -y update java-1.7.0-openjdk

Définissez la variable d'environnement JAVA_HOME en ajoutant la ligne suivante au fichier ~/.bashrc :

export JAVA_HOME=/usr/lib/jvm/java

Ouvrez un nouveau shell et vérifiez la version de Java :

commande Copier

java –version

Conseil

Pour éviter les problèmes, assurez-vous que vous avez uniquement installé OpenJDK version 1.7.0 ou 1.8.0. Supprimez toutes les autres versions de Java de votre système.

Installer PostgreSQL

Le VDA Linux requiert PostgreSQL 8.4 ou version ultérieure sur RHEL 6.

Installez les packages suivants :

commande Copier

sudo yum -y install postgresql-server

sudo yum -y install postgresql-jdbc

L'étape de post-installation suivante est requise pour initialiser la base de données et s'assurer que le service est lancé au démarrage. Cette opération crée les fichiers de base de données sous /var/lib/pgsql/data

commande Copier

sudo /sbin/service postgresql initdb

Démarrer PostgreSQL

Pour les deux versions de PostgreSQL, configurez le service pour qu'il soit lancé au démarrage et pour qu'il soit lancé maintenant :

commande Copier

sudo /sbin/chkconfig postgresql on

sudo /sbin/service postgresql start

Vérifiez la version de PostgreSQL avec :

commande Copier

psql --version

Vérifiez que le répertoire de données est défini à l'aide de l'utilitaire de ligne de commande psql :

commande Copier

sudo -u postgres psql -c 'show data_directory'

Préparer RHEL 7/CentOS 7 pour l’installation sur un VDA

Vérifier la configuration réseau

Citrix recommande que le réseau soit connecté et correctement configuré avant de continuer.

Définir le nom de l'hôte

Pour vous assurer que le nom d'hôte de la machine est indiqué correctement, modifiez le fichier /etc/hostname pour qu'il contienne uniquement le nom d'hôte de la machine.

Attribuer une adresse de bouclage au nom de l'hôte

Pour vous assurer que le nom de domaine DNS et le nom de domaine complet (FQDN) de la machine sont indiqués correctement, modifiez la ligne suivante du fichier /etc/hosts pour qu'elle inclue le nom de domaine complet et le nom d'hôte dans les deux premières entrées :

127.0.0.1  hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4

Par exemple :

127.0.0.1  vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4

Supprimez toute autre référence à hostname-fqdn ou hostname des autres entrées du fichier.

Remarque

Le VDA Linux ne prend actuellement pas en charge la troncation du nom NetBIOS ; par conséquent, le nom de l'hôte ne doit pas comporter plus de 15 caractères.

Conseil

Utilisez uniquement les caractères a-z, A-Z, 0-9 et tiret (-). Évitez les caractères de soulignement (_), les espaces et autres symboles. Ne démarrez pas un nom de l'hôte par un chiffre et ne le terminez pas par un tiret.

Vérifier le nom de l'hôte

Vérifiez que le nom d'hôte est correctement configuré :

commande Copier

hostname

Doit renvoyer uniquement le nom d'hôte de la machine et non pas son nom de domaine complet (FQDN).

Vérifiez que le nom de domaine complet est correctement configuré :

commande Copier

hostname -f

Doit renvoyer le nom de domaine complet de la machine.

Vérifier la résolution de nom et l'accessibilité du service

Vérifiez que vous pouvez résoudre le nom de domaine complet et effectuer un sondage ping sur le contrôleur de domaine et le Delivery Controller XenDesktop :

commande Copier

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn

Si vous ne pouvez pas résoudre le nom de domaine complet ou effectuer un sondage ping sur l'une de ces machines, reprenez les étapes avant de continuer.

Configurer la synchronisation de l'horloge (NTP)

Il est très important de maintenir la synchronisation de l'horloge entre les VDA, les contrôleurs XenDesktop et les contrôleurs de domaine. L'hébergement du VDA Linux en tant que machine virtuelle peut entraîner des problèmes de décalage d'horloge. Pour cette raison, il est recommandé de synchroniser l'heure avec un service de temps à distance.

RHEL 6.x et versions antérieures utilisent le démon NTP (ntpd) pour la synchronisation d'horloge, tandis qu'un environnement RHEL 7.x par défaut utilise le démon Chrony le plus récent (chronyd). Le processus de configuration et de fonctionnement entre les deux services est similaire.

Service Chrony

Sous root, modifiez /etc/chrony.conf et ajoutez une entrée de serveur pour chaque serveur de temps distant :

server peer1-fqdn-or-ip-address iburst

server peer2-fqdn-or-ip-address iburst

Dans un déploiement type, l'heure doit être synchronisée depuis les contrôleurs de domaine locaux et non pas directement depuis des serveurs de pool NTP publics. Ajoutez une entrée de serveur pour chaque contrôleur de domaine Active Directory du domaine.

Supprimez toute autre entrée server répertoriée, y compris les entrées d'adresse IP de bouclage, localhost et *.pool.ntp.org de serveur public.

Enregistrez les modifications et redémarrez le démon Chrony :

commande Copier

sudo /sbin/service chronyd restart

Installer OpenJDK

Le VDA Linux dépend de OpenJDK. L'environnement d'exécution doit avoir été installé dans le cadre de l'installation du système d'exploitation.

Vérifiez que la version est correcte avec :

commande Copier

sudo yum info java-1.8.0-openjdk

Le OpenJDK préconditionné peut être une version antérieure. Mettez à jour vers la dernière version :

commande Copier

sudo yum -y update java-1.8.0-openjdk

Définissez la variable d'environnement JAVA_HOME en ajoutant la ligne suivante au fichier ~/.bashrc :

export JAVA_HOME=/usr/lib/jvm/java

Ouvrez un nouveau shell et vérifiez la version de Java :

commande Copier

java –version

Conseil

Pour éviter les problèmes, assurez-vous que vous avez uniquement installé OpenJDK version 1.8.0. Supprimez toutes les autres versions de Java de votre système.

Installer PostgreSQL

Le VDA Linux requiert PostgreSQL version 9.2 ou version ultérieure sur RHEL 7.

Installez les packages suivants :

commande Copier

sudo yum -y install postgresql-server

sudo yum -y install postgresql-jdbc

L'étape de post-installation suivante est requise pour initialiser la base de données et s'assurer que le service est lancé au démarrage. Cette opération crée les fichiers de base de données sous /var/lib/pgsql/data

commande Copier

sudo postgresql-setup initdb

Démarrer PostgreSQL

Pour chaque version de PostgreSQL, configurez le service de manière à ce qu’il se lance au démarrage. Pour démarrer maintenant :

commande Copier

sudo systemctl start postgresql

sudo systemctl enable postgresql

Vérifiez la version de PostgreSQL avec :

commande Copier

psql --version

Vérifiez que le répertoire de données est défini à l'aide de l'utilitaire de ligne de commande psql :

commande Copier

sudo -u postgres psql -c 'show data_directory'

Préparer la VM Linux pour l'hyperviseur

Certaines modifications sont requises pour l'exécution du VDA Linux en tant que machine virtuelle sur un hyperviseur pris en charge. Apportez les modifications suivantes en fonction de la plateforme d'hyperviseur utilisée. Aucune modification n'est requise si vous utilisez la machine Linux sur un matériel bare metal.

Corriger la synchronisation de l'heure sur Citrix XenServer

Si la fonctionnalité de synchronisation de l'heure de XenServer est activée, vous rencontrerez des problèmes dans chaque VM Linux paravirtualisée car XenServer et NTP tenteront de gérer l'horloge du système. Pour éviter que l'horloge ne soit plus synchronisée avec d'autres serveurs, l'horloge du système de chaque invité Linux doit être synchronisée avec NTP. Pour cela, la synchronisation de l'heure de l'hôte doit être désactivée. Aucune modification n'est requise en mode HVM.

Sur certaines distributions Linux, si vous utilisez un noyau Linux paravirtualisé avec XenServer Tools installé, vous pouvez vérifier si la fonctionnalité de synchronisation de l'heure de XenServer est présente et activée à partir de la VM Linux :

commande Copier

su -

cat /proc/sys/xen/independent_wallclock

Cette commande renvoie une de ces valeurs :

  • 0 - La fonctionnalité de synchronisation de l'heure est activée, et doit être désactivée.
  • 1 - La fonctionnalité de synchronisation de l'heure est désactivée, et aucune action n'est requise.

Si le fichier /proc/sys/xen/indepent_wallclock n'est pas présent, les étapes suivantes ne sont pas requises.

Si cette option est activée, désactivez la fonctionnalité de synchronisation de l'heure en indiquant 1 dans le fichier :

commande Copier

sudo echo 1 > /proc/sys/xen/independent_wallclock

Pour rendre cette modification permanente et persistante après le redémarrage, modifiez le fichier /etc/sysctl.conf en ajoutant la ligne suivante :

commande Copier

xen.independent_wallclock = 1

Pour vérifier ces modifications, redémarrez le système :

commande Copier

su -

cat /proc/sys/xen/independent_wallclock

Cette commande doit renvoyer la valeur 1.

Corriger la synchronisation de l'heure sur Microsoft Hyper-V

Les VM Linux sur lesquelles Hyper-V Integration Services est installé peuvent tirer parti de la fonctionnalité de synchronisation de l'heure Hyper-V pour utiliser l'heure du système d'exploitation hôte. Pour vous assurer que l'horloge du système est toujours précise, cette fonctionnalité doit être activée avec les services NTP.

Depuis le système d'exploitation de gestion :

  1. Ouvrez la console du gestionnaire Hyper-V. 
  2. Pour les paramètres d'une VM Linux, sélectionnez Integration Services
  3. Assurez-vous que Synchronisation date/heure est sélectionné. 

Remarque

Cette approche diffère de XenServer et VMware, pour lesquels la synchronisation de l'heure est désactivée pour éviter tout conflit avec NTP. La synchronisation de l'heure Hyper-V peut co-exister avec la synchronisation de l'heure NTP.

Corriger la synchronisation de l'heure sur ESX et ESXi

Si la fonctionnalité de synchronisation de l'heure de VMware est activée, vous rencontrerez des problèmes dans chaque VM Linux paravirtualisée car l'hyperviseur et NTP tenteront de gérer l'horloge du système. Pour éviter que l'horloge ne soit plus synchronisée avec d'autres serveurs, l'horloge du système de chaque invité Linux doit être synchronisée avec NTP. Pour cela, la synchronisation de l'heure de l'hôte doit être désactivée.

Si vous exécutez un noyau Linux paravirtualisé sur lequel VMware Tools est installé :

  1. Ouvrez vSphere Client.
  2. Modifiez les paramètres pour la VM Linux.
  3. Dans la boîte de dialogue Virtual Machine Properties (Propriétés de la machine virtuelle), ouvrez l'onglet Options.
  4. Sélectionnez VMware Tools.
  5. Dans la zone Advanced, désélectionnez Synchronize guest time with host (Synchroniser l'heure de l'invité avec l'hôte).

Ajouter une machine Linux au domaine Windows

Il existe un certain nombre de méthodes pour ajouter des machines Linux au domaine Active Directory qui sont prises en charge par XenDesktop pour Linux :

  • Samba Winbind
  • Service d'authentification Quest
  • Centrify DirectControl

Suivez les instructions ci-dessous pour la méthode choisie.

Samba Winbind

Installer ou mettre à jour les packages

Installez ou mettez à jour les packages requis :

commande Copier

sudo yum -y install samba-winbind \

samba-winbind-clients \

krb5-workstation \

authconfig \

oddjob-mkhomedir

Activer le lancement du démon Winbind au démarrage

Le démon Winbind doit être configuré pour être lancé au démarrage :

commande Copier

sudo /sbin/chkconfig winbind on

Configurer l'authentification Winbind

Configurez la machine pour l'authentification Kerberos à l'aide de Winbind :

commande Copier

sudo authconfig \

--disablecache \

--disablesssd \

--disablesssdauth \

--enablewinbind \

--enablewinbindauth \

--disablewinbindoffline \

--smbsecurity=ads \

--smbworkgroup=domain \

--smbrealm=REALM \

--krb5realm=REALM \

--krb5kdc=fqdn-of-domain-controller \

--winbindtemplateshell=/bin/bash \

--enablemkhomedir --updateall

Où REALM est le nom du domaine Kerberos en majuscules et domain est le nom NetBIOS court du domaine Active Directory.

Si des recherches DNS sur le nom de domaine et de serveur KDC sont requises, ajoutez les options suivantes à la commande ci-dessus :

commande Copier

--enablekrb5kdcdns --enablekrb5realmdns

Ignorez les erreurs renvoyées par la commande authconfig sur l'échec du démarrage du service winbind. C'est parce que authconfig essaie de démarrer le service winbind sans que la machine ait rejoint le domaine.

Ouvrez /etc/samba/smb.conf et ajoutez les entrées suivantes dans la section [Global], mais après la section générée par l'outil authconfig.

commande Copier

kerberos method = secrets and keytab

winbind refresh tickets = true

Le fichier keytab système /etc/krb5.keytab est requis par le VDA Linux pour s'authentifier et s'enregistrer auprès du Delivery Controller. Le paramètre kerberos method ci-dessus force Winbind à créer le fichier keytab système lorsque la machine rejoint le domaine. 

Rejoindre un domaine Windows

Votre contrôleur de domaine doit être accessible et vous devez disposer d'un compte utilisateur Active Directory avec les autorisations nécessaires pour ajouter des ordinateurs au domaine.

commande Copier

sudo net ads join REALM -U user

Où REALM est le nom de domaine Kerberos en majuscules, et user est un utilisateur de domaine disposant des autorisations nécessaires pour ajouter les ordinateurs au domaine.

Configurer PAM pour Winbind

Par défaut, la configuration du module Winbind PAM (pam_winbind) n'active pas la mise en cache de ticket Kerberos ni la création du répertoire de base. Ouvrez /etc/security/pam_winbind.conf et ajoutez ou modifiez les entrées suivantes dans la section [Global] :

commande Copier

krb5_auth = yes

krb5_ccache_type = FILE

mkhomedir = yes

Assurez-vous que les points-virgules de début de chaque paramètre sont supprimés. Ces modifications requièrent un redémarrage du démon Winbind :

commande Copier

sudo /sbin/service winbind restart

Conseil

Le démon winbind ne reste en cours d'exécution que si la machine est associée à un domaine.

Ouvrez /etc/krb5.conf et modifiez le paramètre suivant dans la section [libdefaults], remplacez le type KEYRING par le type FILE :

commande Copier

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

Vérifier l'appartenance à un domaine

Le contrôleur XenDesktop requiert que toutes les machines VDA, Windows ou Linux, aient un objet ordinateur dans Active Directory.

Vérifiez que la machine est associée à un domaine à l'aide de la commande net ads de Samba :

commande Copier

sudo net ads testjoin

Il est possible de vérifier les informations supplémentaires de domaine et d'objet ordinateur avec :

commande Copier

sudo net ads info

Vérifier la configuration de Kerberos

Pour vérifier que Kerberos est correctement configuré pour être utilisé avec le VDA Linux, vérifiez que le fichier keytab système a été créé et contient des clés valides :

commande Copier

sudo klist -ke

Cette commande doit afficher la liste des clés disponibles pour les différentes combinaisons de noms principaux et de suites de chiffrement. Exécutez la commande kinit Kerberos pour authentifier la machine auprès du contrôleur de domaine à l'aide de ces clés :

commande Copier

sudo kinit -k MACHINE\$@REALM

Les noms de machine et de domaine doivent être spécifiés en majuscules, et le signe dollar ($) doit être placé dans une séquence d'échappement avec une barre oblique inverse (\) pour empêcher le remplacement shell. Dans certains environnements, le nom de domaine DNS est différent du nom de domaine Kerberos ; assurez-vous que le nom de domaine est utilisé. Si cette commande réussit, aucun résultat n'est affiché.

Vérifiez que le ticket TGT pour le compte de machine a été mis en cache à l'aide de :

Code Copier

sudo klist

Examinez les détails du compte de machine à l'aide de :

commande Copier

sudo net ads status

Vérifier l'authentification utilisateur

Utilisez l'outil wbinfo pour vérifier que les utilisateurs de domaine peuvent s'authentifier auprès du domaine :

commande Copier

wbinfo --krb5auth=domain\\username%password

Le domaine spécifié ici est le nom de domaine Active Directory, et non le nom de domaine Kerberos. Pour le shell bash, la barre oblique inverse (\) doit être placée dans une séquence d'échappement avec une autre barre oblique inverse. Cette commande renvoie un message indiquant la réussite ou l'échec.

Pour vérifier que le module PAM Winbind est correctement configuré, ouvrez une session localement à l'aide d'un compte d'utilisateur de domaine qui ne s'est pas connecté à la machine précédemment.

commande Copier

ssh localhost -l domain\\username

id -u

Vérifiez que les tickets dans le cache d'identification de Kerberos de l'utilisateur sont valides et n'ont pas expiré :

commande Copier

klist

Quittez la session :

commande Copier

exit

Le même test peut être réalisé en ouvrant une session directement sur la console KDE ou Gnome.

Service d'authentification Quest

Configurer Quest sur le contrôleur de domaine

Cette procédure suppose que vous avez installé et configuré le logiciel Quest sur les contrôleurs de domaine Active Directory et disposez des droits Administrateur pour créer des objets ordinateur dans Active Directory.

Autoriser les utilisateurs de domaine à ouvrir une session sur des machines VDA Linux

Pour chaque utilisateur de domaine qui doit établir des sessions HDX sur une machine VDA Linux :

  1. Dans la console de gestion Utilisateurs et ordinateurs Active Directory, ouvrez les propriétés de l'utilisateur Active Directory pour ce compte d'utilisateur.
  2. Sélectionnez l'onglet Unix Account.
  3. Sélectionnez la case Unix-enabled.
  4. Définissez Primary GID Number sur l'ID d'un groupe d'utilisateurs de domaine.

Remarque

Ces instructions sont les mêmes que pour la configuration d'utilisateurs de domaine pour l'ouverture de session à l'aide de la console, RDP, SSH ou tout autre protocole de communication à distance.

Configurer Quest sur un VDA Linux 

Solution à l'application forcée de la stratégie SELinux

L'environnement RHEL par défaut applique entièrement SELinux. Cela interfère avec les mécanismes IPC de socket de domaine Unix utilisés par Quest et empêche les utilisateurs de domaine d'ouvrir une session.

Conseil

Il existe plusieurs solutions indiquées ici.

La plus facile consiste à désactiver SELinux. En tant que root, modifiez le paramètre SELinux dans /etc/selinux/config :

commande Copier

SELINUX=disabled

Cette modification nécessite un redémarrage :

commande Copier

reboot

Important

Utilisez ce paramètre avec précaution. La réactivation de l'application forcée de la stratégie SELinux après sa désactivation peut entraîner un verrouillage complet, même pour l'utilisateur root et d'autres utilisateurs locaux. 

Configurer le démon VAS

Le renouvellement automatique des tickets Kerberos doit être activé et déconnecté ; l'authentification (ouverture de session en mode déconnecté) doit être désactivée :

commande Copier

sudo /opt/quest/bin/vastool configure vas vasd \

     auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth \

     allow-disconnected-auth false

Ces commandes définissent l'intervalle de renouvellement sur 9 heures (32400 secondes), ce qui est une heure de moins que la valeur par défaut de 10 heures pour la durée de vie de ticket. Définissez ce paramètre sur une valeur inférieure sur les systèmes avec une durée de vie de ticket plus courte.

Configuration de PAM et de NSS

Quest requiert la configuration manuelle de PAM et NSS pour permettre la connexion d'utilisateur de domaine via HDX et d'autres services tels que su, ssh et RDP. Pour configurer PAM et NSS :

commande Copier

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss

Rejoindre un domaine Windows

Associez la machine Linux au domaine Active Directory à l'aide de la commande vastool de Quest :

commande Copier

sudo /opt/quest/bin/vastool -u user join domain-name

L'utilisateur est un utilisateur de domaine disposant des autorisations nécessaires pour associer des ordinateurs au domaine Active Directory. Le nom de domaine est le nom DNS du domaine ; par exemple, exemple.com.

Vérifier l'appartenance à un domaine

Le contrôleur XenDesktop requiert que toutes les machines VDA, Windows ou Linux, aient un objet ordinateur dans Active Directory. Pour vérifier qu'une machine Linux associée à Quest se trouve sur le domaine :

commande Copier

sudo /opt/quest/bin/vastool info domain

Si la machine est associée à un domaine, cette commande renvoie le nom de domaine. Si elle n'est pas associée, vous voyez le message d'erreur suivant :

commande Copier

ERROR: No domain could be found.

ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm

default_realm not configured in vas.conf. Computer may not be joined to domain

Vérifier l'authentification utilisateur

Pour vérifier que Quest peut authentifier les utilisateurs de domaine à l'aide de PAM, ouvrez une session à l'aide d'un compte d'utilisateur de domaine qui ne s'est pas connecté à la machine précédemment.

commande Copier

ssh localhost -l domain\\username

id -u

Vérifiez qu'un fichier cache d'identification Kerberos correspondant a été créé pour le uid renvoyé par la commande id -u :

commande Copier

ls /tmp/krb5cc_uid

Vérifiez que les tickets dans le cache d'identification de Kerberos de l'utilisateur sont valides et n'ont pas expiré :

commande Copier

/opt/quest/bin/vastool klist

Quittez la session :

commande Copier

exit

Le même test peut être réalisé en ouvrant une session directement sur la console KDE ou Gnome.

Centrify DirectControl

Rejoindre un domaine Windows

Avec le Centrify DirectControl Agent installé, associez la machine Linux au domaine Active Directory à l'aide de la commande adjoin Centrify :

commande Copier

su – 

adjoin -w -V -u user domain-name

Le paramètre user est un utilisateur de domaine Active Directory disposant des autorisations nécessaires pour associer des ordinateurs au domaine Active Directory. Le paramètre de nom de domaine est le nom du domaine auquel associer la machine Linux.

Vérifier l'appartenance à un domaine

Le contrôleur XenDesktop requiert que toutes les machines VDA, Windows ou Linux, aient un objet ordinateur dans Active Directory. Pour vérifier qu'une machine Linux associée à Centrify se trouve sur le domaine :

commande Copier

su –

adinfo

Vérifiez que la valeur Joined to domain est valide et que CentrifyDC mode renvoie connected. Si le mode reste bloqué à l'état de démarrage, le client Centrify rencontre des problèmes de connexion au serveur ou d'authentification.

Des informations plus complètes sur le système et les diagnostics sont disponibles à l'aide de :

commande Copier

adinfo --sysinfo all

adinfo –diag

Pour tester la connectivité avec les différents services Active Directory et Kerberos :

commande Copier

adinfo --test

Installer les pilotes NVIDIA GRID 

Pour activer HDX 3D Pro, des étapes d'installation supplémentaires sont requises pour installer les pilotes graphiques nécessaires sur l'hyperviseur, ainsi que sur les machines VDA.

Configurez ce qui suit :

  1. Citrix XenServer 
  2. VMware ESX

Suivez les instructions pour l'hyperviseur choisi.

Citrix XenServer 

Cette section détaillée décrit l'installation et la configuration des pilotes NVIDIA GRID sur Citrix XenServer

VMware ESX 

Suivez les informations contenues dans ce guide pour installer et configurer les pilotes NVIDIA GRID de VMware ESX.

Machines VDA 

Suivez ces étapes pour installer et configurer les pilotes pour chaque invité VM Linux :

  1. Avant de commencer, assurez-vous que la VM Linux est arrêtée.
  2. Dans XenCenter, ajoutez un processeur graphique en mode GPU Passthrough à la VM.
  3. Démarrez la VM RHEL.

Pour préparer la machine pour les pilotes NVIDIA GRID, les étapes suivantes sont requises :

commande Copier

# yum install gcc

# yum install "kernel-devel-uname-r == $(uname -r)"

# systemctl set-default multi-user.target

Une fois terminé, suivez les étapes décrites dans le document Red Hat Enterprise Linux pour installer les pilotes NVIDIA GRID.

Remarque

Pendant l'installation du pilote GPU, sélectionnez la valeur par défaut (no) pour chaque question. 

Important

Une fois que la fonctionnalité GPU Passthrough a été activée, la VM Linux n'est plus accessible via XenCenter, vous devez donc utiliser SSH pour vous connecter.

localized image

Définissez la configuration correcte pour la carte :

commande Copier

etc/X11/ctx-nvidia.sh

Pour bénéficier des résolutions élevées et des capacités multi-écrans, vous aurez besoin d'une licence NVIDIA valide. Pour appliquer la licence, suivez les instructions de la documentation du produit, GRID Licensing Guide.pdf - DU-07757-001 Septembre 2015.